Computer Security (1 부 )
-
Upload
althea-kelly -
Category
Documents
-
view
47 -
download
6
description
Transcript of Computer Security (1 부 )
Prof. Jk LEE/security 1
Computer SecurityComputer Security(1(1 부부 ))
LIS/Computer Science Dept.Changwon National Univ.
Prof. Jk LEE/security 2
4 2 3
계좌번호계좌번호입력한 계좌번호가 과연
지금 연계하고자하는 은행의 바른 구좌번호인가 ?
입력한 계좌번호가 과연 지금 연계하고자하는 은행의
바른 구좌번호인가 ?
독일 - 도이치방크
0291864
029186 4
1’st6th 2nd
홀수번의 수 * 2 6*2 = 12 =>1+2=3
0 4 9 2 8 3 = 26 + + + + +
4 26 30+ =
비밀코드의 변환 ??
비밀코드의 변환 ??
10 의 배수 Oh, yes!
Prof. Jk LEE/security 3
ContentsContents
1. Is there A security Problem in Computing? 2. Basic Encryption and Decryption 3. Secure Encryption Systems
Prof. Jk LEE/security 4
1. Is there a security problem in 1. Is there a security problem in computing?computing?
Risks of computing Goals of secure computing:
confidentially, integrity, availability
Threats to security in computing: interception,interruption,modification,fabrication
Controls: encryption,programming controls,operating systems,network control,administrative controls,law
and ethics
Prof. Jk LEE/security 5
how people protect/how how people protect/how banks protect moneybanks protect money
size and portability: ability to avoide physical contact: value of assets:
1000 만원의 크기는 ?
전자화폐사이버뱅킹
제반 자료의 정보화
Prof. Jk LEE/security 6
Kinds of security breachesKinds of security breaches Exposure : form of possible loss
Vulnerability:weakness hardware
Attack: Threats:loss or harm
Control:protective measure
software
Prof. Jk LEE/security 7
System security threatsSystem security threats
Interception interruption
modificationfabrication
Prof. Jk LEE/security 8
Security goalsSecurity goals
Confidentiality: - accessible only by authorized parties
integrity: - modified by authorized parties or in ways
availability: - not prevented from accessing of authorized
parties
Prof. Jk LEE/security 9
VulnerabilitiesVulnerabilities
HardwareHardware
Interruption(denial of service)
Interception(Threft)
softwaresoftware
Interruption(deletion)
modification
Interception datadata
Interruption(loss)
Interception
modification
fabrication
Prof. Jk LEE/security 10
Threats to hardware:Simple point to attack
HardwareHardware
Interruption(denial of service)
Interception(Threft)
Prof. Jk LEE/security 11
Threats to software:
- software deletion
- software modification:
* Trojan horse
* Trapdoor
* Virus
* Information Leaks
- software theft
Prof. Jk LEE/security 12
Threats to Data:
data
confidentiality
data
integrity
data
availability
dataSecure data
Prof. Jk LEE/security 13
Other Exposed Assets:- storage media
- Network
- access
-key people
Prof. Jk LEE/security 14
Methods of defenseMethods of defense Controls:
- encryption- software control- hardware controls- polices- physical control
Effectiveness of controls:- awareness of problem- likelihood of use- overlapping controls- periodic review
Prof. Jk LEE/security 15
정보보안의 필요성정보보안의 필요성 정보보안의 중요성
이익창출과 자산 보호 정보는 제 3 의 자산 정보자산의 보호가 필요 기대손실의 증가
Prof. Jk LEE/security 16
과거 : 조직의 부대비용 공포전술에 의한 소극적 / 부정적 인식
현재 : 조직의 비교우위 창출 수단 마케팅 / 판매 개념 -> 적극적 사고 양심적 기업이미지 신제품 및 서비스 창출 경쟁력제고
미래 : 생존을 위한 필수조건
정보보안이 조직에서의 비중증대
Prof. Jk LEE/security 17
정보보안의 필요성정보보안의 필요성
컴퓨터 범죄의 증가 컴퓨터범죄와 일반범죄와의 차이
Accesibility Ease of change Concentration of information Complexity of software Impersonal nature Priviledged position Non-visibility
Prof. Jk LEE/security 18
컴퓨터 범죄의 특성 적에 대한 인지 확인 불가 목적 , 시기 , 목표에 대한 예측 불허 Weakest link strategy 통계의 무의미
대책 ???대책 ???
Prof. Jk LEE/security 19
홈> 자료실> 경찰통계
사이버 범죄 검거현황
구분 계 해킹바이러
스
개인정보침
해
통신사기
게임사기
불법복제
판매
불법사이트운영
명예회손
성 폭력
기 타
00 2,190 395 37 461 784 36 193 284
01 24,455 8,099 926 9,141 1,312 722 1,668 5,587
증감 +11.2 배 +20.5 배 +25 배 +19.8 배 +1.7 배 +20.1 배 +8.6 배 +9.1 배
Prof. Jk LEE/security 20
사이버 범죄 통계 ( 연령별 )
구분 계 10 대 20 대 30 대 40 대이상
인원 ( 명 ) 5,052 2,193 1,661 777 421
비율 (%) 100 44 33 15 8
※ 5,052 명은 구속 · 기소 인원 합한 수치임
사이버 범죄 통계 ( 직업별 )
구분 계 학 생 무 직 회사원 자영업 기 타
인원 ( 명 ) 5,052 2,039 1,398 735 404 476
비율 (%) 100 40 28 15 8 9
※ 5,052 명은 구속 · 기소 인원 합한 수치임
Prof. Jk LEE/security 21
컴퓨터범죄 ?
컴퓨터 범죄 유형과 사례를 조사하여 이에대한 문제점과 대책에 대한 분석
제출기일 : 2002 년 9 월 30 일방법 : 1~3 인 조 편성 가능 단 , 담당 작성 부분 표시유의사항 : 각자의 멜 주소를 기입 요망
Prof. Jk LEE/security 22
정보보안의 특성과 목표정보보안의 특성과 목표
정보보안의 특성 완전함이 없다 컴퓨터성능 향상과는 무관 대책 설치시 효과서 측정이 어려움 대책의 효과성 측정이 어렵다 여러방법들의 혼합적사용으로 위험의 감소 자신이 문제임
Prof. Jk LEE/security 23
정보보호의 목표정보보호의 목표 정보보호는 비용을 초래
구매 , 관리 , 개발등 무 대책 또한 손실 초래
직접손실 간접손실
궁극적인 목표 비용과 손실의 최소화 비용과 피해수준간의 균형유지
Prof. Jk LEE/security 24
정보보안에 대한 기존 모델정보보안에 대한 기존 모델 보안관리모델
생명주기 , 위험관리 요구사항 , 조직기능
접근제어모델 Reference model Lattice model Information flow model: Bell-Lab.Biba Model
시스템구축 기술모델 ISO security reference model distributed system security models
보안성 평가 및 인증모델 TCSEC(Trust computer security criteria),ITSEC(Information Technology Security Evaluatio
n and Certification),FC(Federal Criteria),CC(Common Criteria)
기술에 의한 모델이 대부분
Prof. Jk LEE/security 25
정보보안 시스템 구축 방법론정보보안 시스템 구축 방법론
정보보호 기획 기본통제분석 / 위험분석 정보보호 정책수립 / 수정
정보보호 시스템 구현 정보보호 구조 수립 및 시스템 구현 시험 및 검증
정보보호 시스템 유지보수 교육 및 훈련 변경관리
Prof. Jk LEE/security 26
정보보안관리 의 개념과 모델정보보안관리 의 개념과 모델
정보보안관리 정의 조직의 목표지원 생명주기를 기획 , 관리 환경에대한 긍정적 / 부정적 영향력 정보보안 활경 달성
Prof. Jk LEE/security 27
정보보안관리체제정보보안관리체제
초기경영자 사업목표
보안관리자 정보보안정책
통제체계관리자
위험관리
통제영역감사
Prof. Jk LEE/security 28
정보보안관리기능 정보보안계획수립 정보보안 목적 , 전략 및 정책을 결정 보안대책 선정 정보보안 정책 및 절차를 문서화 정보보안 조직을 구성 정보보안 인식제고 프로그램을 개발 보안대책의 구현과 운영을 감시
Prof. Jk LEE/security 29
정보보안관리과정
요구사항단계IT 보안정책
요구사항
위험분석단계상위위험분석세부위험분석기본통제분석
위험평가단계비용효과분석보안대책선정
정책수립단계IT 시스템보안정책
사후관리단계보안감사사고처리
감시 / 검토변경관리
구현단계보안아키텍쳐
H/W,S/W 관리교육훈련
계획수립단계IT 보안
계획
Prof. Jk LEE/security 30
정보보안에 대한 편경 업무절차 부과 창의성 소요비용과다 생산성저하 시스템 정보보안 모델
부적합한 정보보안 모델 물리적 보안 개념 부정적 기초 적극적 시각 균형유지 필요
정보보안의 부정적 환경
Prof. Jk LEE/security 31
임시방편대응 보안문제 / 수행능력간의 차이 정보보안 계획에 대한 인식 및 노력부족
정보과다 필요정보와 실제정보와의 차이
불충분한 자원과 인력 조직의 불충분한 투자
Prof. Jk LEE/security 32
정보보안의 부정적 환경정보보안의 부정적 환경
정보자원관리의 상대적 보급실패 정보시스템 계획과 사업전략과의 통합부진 정보보안의 광범위적 영역 최고경영층의 인식부재 정보보안전문가의 단시안적 대체능력 성과측정의 어려움 상이한 언어사용에 따른 의사소통의 어려움
Prof. Jk LEE/security 33
정보보안의 성공적 요인정보보안의 성공적 요인
적절한 조직구조 책임 관련자와 역할
관리층의 경각심 및 인식제고 적절한 피트백 제공 취약성 부각 위험분석 사내교육
Prof. Jk LEE/security 34
정보보안 위험관리정보보안 위험관리 조직의 위험 평가후 위험감소행위 효과성제고를 위한 위험관리수행 위험분석 보안관리 > 위험관리 > 위험분석
검토범위 자산식별
자산가치 / 의존도평가기존보안대책평가
취약성평가위험평가 위험평가
위험분석 제약조건
대책선택
IT 시스템보안정책
IT보안계획
위험수용
Prof. Jk LEE/security 35
위험분석에서 보안요소간의 관계위험분석에서 보안요소간의 관계
위협
위협위협취약성취약성
자산자산
보안대책보안대책
보안요구사항보안
요구사항가치가치
공격
노출
증가증가방어대상
충족표시
증가 보유
Prof. Jk LEE/security 36
2.Network security2.Network security
정보에 관한 관련변환 양통신 주체간의 비밀정보공유
- 보안관련 알고리즘의 설계- 변환 알고리즘과 병용될 정보의 생성- 비밀정보의 분배및 공유방법의 개발- 보안알고리즘과 프로토콜의 지정
Prof. Jk LEE/security 37
네트워크 보안 모델네트워크 보안 모델신뢰된 제 3 자 : 비밀정보의 중재자 , 분배자
통신주체 통신주체
메시지 메시지
정보채널
비밀정보 비밀정보
보안관련변환 적 보안관련변환